Wenn ein verschlüsseltes Dateisystem / eine verschlüsselte Datei angehängt ist, wird der Inhalt für alle Benutzer zugänglich, die Zugriff auf den Ordner (und das Stammverzeichnis) haben. Ich denke, dass die praktikabelste Lösung für Ihr Problem ist:
- Verwenden Sie LUKS, um ein verschlüsseltes Dateisystem zu erstellen
- Zum Startzeitpunkt einhängen (oder beim Starten des HTTP-Daemons)
- Legen Sie den Schlüssel nicht in den Behälter auf der Box (es ist ein Ärgernis, jedes Mal das Kennwort einzugeben, aber es wird häufig ein Fehler gemacht).
- Ändern Sie die Verzeichnisberechtigungen in 700
- Ändern Sie den Besitz des Webserver-Benutzers (normalerweise
www-data
).
Dadurch wird niemandem im System (außer www-data und root) der Zugriff auf die Dateien gestattet.
Wenn Sie sich wirklich für maximale Sicherheit entscheiden möchten, können Sie Folgendes schreiben:
- Fordern Sie beim Zugriff auf die Webseite das verschlüsselte Containerkennwort an
- Mounten Sie den verschlüsselten Container
- Rufen Sie die erforderlichen Dateien ab
- Hängen Sie den Container aus
Beachten Sie, dass das Aufhängen / Abhängen ein sehr kostspieliger Vorgang ist, sodass Ihre Webseite sehr langsam werden würde.